研究人员最近发现滥用 Google 表单的垃圾邮件有所增加，攻击者首先在 Google 表单中创建新的问卷调查，并且利用受害者的电子邮件地址参与问卷调查，滥用 Google 表单的功能将垃圾邮件发送给受害者。由于垃圾邮件由 Google 发出，通常可以绕过检查送递到受害者。

此类电子邮件统计图

多年来攻击者一直滥用该功能，但最近该功能被滥用的尤为严重。

Google 表单

在 Google 表单中创建新表单时，作者可以选择“将其设为问卷调查”，并且选择在手动审核后将成绩发送给参与者的电子邮件。

表单配置

表单配置

配置好表单后，攻击者就获得了访问该表单的链接。随后攻击者使用受害者的电子邮件地址填写表格并提交，如何回答表单中的问题并不重要，生成的测试如下所示：

后台统计数据

点击 Release Scores 就可以向所有的提交者发布电子邮件。电子邮件中可以包含自定义的文本或者 URL，Google 再将邮件发送给对应的账户。由于电子邮件来自 Google，很可能会绕过各种安全检查机制。

加密货币诈骗

以下是通过 Google 表单发送的垃圾邮件示例：

垃圾邮件

受害者点击查看后，就会被重定向到虚假网址：

跳转引导页面

在表单回复中，攻击者提供了跳转网站的链接。该链接指向另一个 Google 表单，要求受害者确认电子邮件地址。在这个攻击阶段，第二个表单中输入电子邮件地址时，受害者会收到包含指向外部网站（go-procoinwhu[.]top）链接的响应。

确认后的跳转链接

该域名于 2023 年 10 月 28 日创建，但请求量已经快速增长。

域名请求趋势

点击 Google 表单响应中 go-procoinwhu[.]top 链接会触发 CloudFlare 的 302 重定向，将受害者重定向到 https://hdlgr[.]dudicyqehama[.]top/。该域名也是在 2023 年 10 月 25 日才创建的，DNS 请求模式也与前述域名类似。

域名请求趋势

受害者被重定向到 dudicyqehama.top 时，会看到一个精心设计的诈骗网站。该网站声称受害者通过“云计算挖掘比特币”在账户中拥有超过 1.3 个比特币，网站声称这些比特币价值超过 4.6 万美元。

诈骗网站

一旦受害者点击继续，就会进入登录页面。用户名和密码已经预先填写到表单中，受害者只需要点击登录按钮即可。

诈骗网站

该诈骗网站竭尽全力显得十分正常，甚至加入了群聊功能，受害者可以在其中看到各种用户讨论加密货币。受害者登录后也可以发布评论，但很明显这些都不是真正的用户。

虚假群聊

受害者试图领取比特币时，会被重定向到名为 Sophia 的代理进行实时聊天的页面。

聊天页面

Sophia 与受害者聊了一会，又发送了一份表格让受害者填写以收取比特币。

填写表格

该表格要求受害者填写姓名、电子邮件地址以及用户期望的提现方式。

提现表格

填写表格后，受害者会被重定向到与 Sophia 的聊天，Sophia 给出一个按钮启动比特币提现。

聊天截图

现在就可以看到诈骗的结局，受害者想要提取 4.8 万美元就必须支付 0.25% 的手续费（64 美元）。

要求支付手续费

当受害者点击兑换比特币时，会看到最后一张表格，提示受害者输入姓名、电子邮件和电话号码。

付款表格

点击支付就会出现比特币钱包的二维码。幸运的是，目前还没有人被诈骗向攻击者支付手续费。截至到 2023 年 11 月 6 日，该比特币钱包仍然是空的。

钱包二维码

攻击者费尽心机设置这个诈骗骗局，通过社会工程学做了大量的准备工作。

IOC

https://go-procoinwhu.top/go/94z2/74w2
https://hdlgr.dudicyqehama.top/
https://ukjwj.dudicyqehama.top/
BC1QN9JKG3XYCRWPRZ4SKQWVSFY8C07PF83WP5FMXD

参考来源

Talos